
Konfirmasi Softonic pada Juni tentang insiden Klue/Salesforce adalah pelanggaran LastPass material kedua dalam empat tahun. Untuk kategori yang seluruh proposisinya adalah kepercayaan, dua kegagalan sudah cukup bagi segmen pengguna yang terus berkembang untuk memindahkan brankas ke tempat yang dapat mereka audit dan miliki. Artikel XDA awal bulan tentang Vaultwarden berjalan dalam kontainer Docker di sebelah Jellyfin menangkap langkah yang jelas: tetapkan klien Bitwarden yang sama di setiap perangkat, arahkan ke server di jaringan rumah atau VPS murah, dan jangan pernah membayar langganan manajer kata sandi lagi.
Kami menguji 7 aplikasi manajer kata sandi yang di-host sendiri terbaik untuk desktop di 2026. Daftar ini mencakup standar Vaultwarden-di-Docker yang mendarat di sebagian besar pengaturan rumah, rilis resmi Bitwarden yang di-host sendiri untuk pengguna yang ingin tetap di basis kode asli, pilihan yang berfokus pada tim yang menghadirkan berbagi yang tepat dan kebijakan akses, dan brankas berbasis file klasik yang tidak memerlukan server sama sekali.
Apa yang harus dicari dalam manajer kata sandi yang di-host sendiri
Pilih manajer kata sandi yang di-host sendiri yang:
- Memiliki gambar Docker yang dirawat dengan siklus rilis yang dikenal. Vaultwarden, rilis Bitwarden resmi, Passbolt, dan Psono semuanya memenuhi syarat; proyek yang lebih lama tanpa rilis baru-baru ini harus dihindari.
- Bekerja dengan klien Bitwarden, KeePass, atau ekstensi browser pihak pertama jika memungkinkan. Penguncian klien khusus adalah gesekan yang mendorong pengguna kembali ke penyedia cloud.
- Mendukung pencadangan dan pemulihan yang tepat. Brankas adalah file paling penting di server Anda; proyek harus membuat pencadangannya menjadi jelas.
- Menangani berbagi keluarga atau tim dengan kontrol akses berbasis peran jika lebih dari satu orang menggunakannya.
- Memiliki opsi terdokumentasi untuk TLS, integrasi proxy terbalik, dan 2FA untuk antarmuka admin.
- Memiliki komunitas aktif yang cukup besar untuk menjawab pertanyaan ketika sesuatu salah.
Perbandingan cepat
| Aplikasi | Terbaik untuk | Platform | Paket gratis | Klien yang kompatibel |
|---|---|---|---|---|
| Vaultwarden | Pilihan server rumah default | Linux, Docker | Ya, sepenuhnya | Bitwarden seluler, desktop, browser |
| Bitwarden Self-Hosted | Hulu resmi | Linux, Docker | Ya untuk penggunaan pribadi | Bitwarden seluler, desktop, browser |
| Passbolt | Berfokus pada tim, berbasis GPG | Linux, Docker | Community Edition gratis | Ekstensi browser Passbolt, seluler |
| Psono | Brankas tim yang memprioritaskan privasi | Linux, Docker | Ya, sepenuhnya | Ekstensi browser Psono, desktop |
| Padloc | UI yang dipoles, enkripsi end-to-end | Linux, Docker | Ya untuk penggunaan pribadi | Desktop Padloc, seluler, browser |
| KeePassXC | Berbasis file, tidak perlu server | Windows, macOS, Linux | Ya, sepenuhnya | Desktop KeePassXC, KeePassDX, Strongbox |
| Pass (passwordstore.org) | Terbaik untuk pengguna daya GPG dan Git | Windows, macOS, Linux | Ya, sepenuhnya | Browserpass, klien seluler Pass |
7 aplikasi manajer kata sandi yang di-host sendiri terbaik untuk desktop
1. Vaultwarden — pilihan server rumah default terbaik
Vaultwarden adalah penulisan ulang Rust dari API server Bitwarden, dan telah menjadi pilihan default manajer kata sandi yang di-host sendiri untuk pengguna rumah sejak 2021. Kontainer kecil (satu biner ditambah SQLite atau Postgres), penggunaan sumber daya dapat diabaikan, dan klien Bitwarden seluler, desktop, dan browser resmi semuanya berbicara dengannya tanpa modifikasi apa pun. Pasangkan dengan proxy terbalik seperti Caddy atau Traefik, arahkan catatan DNS ke server rumah, dan keluarga berada di brankas yang sama dalam satu jam. Vaultwarden berjalan dengan bersih di Linux, dalam kontainer Docker di Windows atau macOS, atau di VPS kecil untuk beberapa dolar per bulan.
Dimana kekurangannya: Bukan basis kode Bitwarden resmi, jadi audit keamanan mencakup hulu daripada fork. Beberapa fitur perusahaan (SSO, organisasi di luar dasar) adalah stubs. Panel admin dengan sengaja minimal.
Platform: Linux, Docker. Klien: Bitwarden seluler, desktop, ekstensi browser.
Garis bawah: Standarnya. Pilih ini jika Anda ingin mempertahankan pengalaman klien Bitwarden dan menjalankan server sendiri.
2. Bitwarden Self-Hosted — hulu resmi terbaik
Bitwarden Self-Hosted adalah rilis server Bitwarden resmi. Kumpulan kontainer lebih berat daripada Vaultwarden (beberapa layanan, MSSQL secara default) dan memerlukan lebih banyak memori untuk dijalankan, tetapi cerita audit adalah yang terkuat dalam kategori dan fitur perusahaan (SSO, berbagi tingkat premium, kebijakan identitas) semuanya tersedia. Bitwarden Self-Hosted adalah pilihan yang tepat untuk organisasi yang menginginkan kode hulu, menginginkan jejak audit, dan memiliki perangkat keras untuk mendukungnya.
Dimana kekurangannya: Penggunaan sumber daya cukup tinggi membutuhkan setidaknya 2 GB memori untuk pengaturan pengguna tunggal yang nyaman. Kontainer MSSQL default tidak biasa di Linux; cabang Postgres tidak resmi adalah opsi yang lebih ramah. Pembaruan memerlukan perawatan karena kumpulan kontainer memiliki lebih banyak bagian bergerak daripada Vaultwarden.
Platform: Linux, Docker. Klien: Bitwarden seluler, desktop, ekstensi browser.
Garis bawah: Pilih ini jika Anda menginginkan basis kode resmi dan Anda memiliki perangkat keras untuk itu.
3. Passbolt — terbaik yang berfokus pada tim dengan GPG
Passbolt adalah manajer kata sandi yang dibangun untuk tim sejak awal. Arsitektur menggunakan kunci GPG untuk enkripsi sisi klien, jadi setiap anggota tim memiliki kunci pribadi dan sumber daya bersama dienkripsi untuk semua penerima. Berbagi berbasis peran, log audit, dan API yang dapat diperluas adalah semua fitur kelas satu. Community Edition gratis untuk di-host sendiri di Linux dan berjalan di Docker tanpa kejutan. Passbolt adalah pilihan yang tepat ketika lebih dari tiga orang berbagi brankas.
Dimana kekurangannya: Manajemen kunci GPG adalah langkah onboarding nyata untuk pengguna non-teknis. Ekstensi browser dapat diandalkan tetapi klien seluler lebih muda daripada pesaing cloud headline. Belum ada dukungan untuk passkeys.
Platform: Linux, Docker. Klien: ekstensi browser Passbolt, seluler.
Garis bawah: Pilih ini jika Anda menyiapkan brankas untuk tim kecil dan menginginkan berbagi berbasis GPG.
4. Psono — brankas tim yang memprioritaskan privasi terbaik
Psono adalah manajer kata sandi tim berbasis Berlin dengan cerita privasi yang kuat dan Community Edition gratis yang berfungsi penuh. Enkripsi end-to-end adalah standar, telemetri sisi server minimal, dan proyek mendukung jenis log audit dan fitur kebijakan akses yang sebenarnya digunakan tim yang lebih kecil. Ekstensi browser dan klien desktop dipoles, dan tier Enterprise opsional menambahkan SSO, LDAP, dan kemewahan yang diinginkan organisasi yang lebih besar. Psono vs Passbolt adalah sebagian besar pertanyaan GPG (Passbolt) vs model kunci simetris (Psono).
Dimana kekurangannya: Komunitas lebih kecil daripada Vaultwarden atau Bitwarden Self-Hosted. Klien seluler fungsional tetapi terasa tertinggal satu generasi. Kustomisasi memerlukan tier Enterprise untuk beberapa fitur.
Platform: Linux, Docker. Klien: ekstensi browser Psono, desktop.
Garis bawah: Pilih ini jika Anda menginginkan brankas tim yang memprioritaskan privasi dan lebih suka tumpukan yang ramah-Berlin.
5. Padloc — UI yang dipoles terbaik
Padloc adalah UI manajer kata sandi open-source yang paling dipoles dalam kategori yang di-host sendiri. Enkripsi end-to-end dibangun, klien desktop dan seluler menggunakan bahasa desain modern yang sama, dan server yang di-host sendiri berjalan dalam kontainer Docker kecil tanpa ketergantungan eksternal. Tangkapan Padloc adalah bahwa kemewahan secara historis datang dengan komunitas yang lebih kecil daripada dunia Bitwarden, yang berarti dukungan mengandalkan saluran proyek sendiri.
Dimana kekurangannya: Ekosistem lebih kecil daripada dunia Bitwarden. Tier gratis yang di-host sendiri membatasi beberapa fitur yang dimaksudkan untuk paket yang dihosting berbayar. Beberapa berbagi lanjutan memerlukan lisensi Padloc Family atau Team bahkan saat di-host sendiri.
Platform: Linux, Docker. Klien: desktop Padloc, seluler, ekstensi browser.
Garis bawah: Pilih ini jika Anda menginginkan UI open-source yang paling dipoles dalam kategori.
6. KeePassXC — terbaik berbasis file, tidak perlu server
KeePassXC adalah klien desktop lintas platform untuk format basis data KeePass. Cerita “di-host sendiri” di sini adalah yang paling sederhana: brankas adalah satu file .kdbx terenkripsi yang Anda simpan di disk Anda sendiri, di Syncthing, di Nextcloud, di bagian SFTP, atau di tempat lain. Tidak ada server, tidak ada API, tidak ada permukaan untuk dilanggar. Ekstensi browser menangani isian otomatis, KeePassDX dan Strongbox mencakup Android dan iOS, dan format file telah stabil selama bertahun-tahun. KeePassXC adalah pilihan yang tepat untuk pengguna yang ingin sepenuhnya melewati server.
Dimana kekurangannya: Sinkronisasi adalah masalah Anda. Berbagi dengan anggota keluarga melibatkan memberi mereka akses ke file, yang canggung. Pemulihan dari kata sandi master yang hilang tidak mungkin.
Platform: Windows, macOS, Linux. Klien: KeePassXC, KeePassDX (Android), Strongbox (iOS).
Garis bawah: Pilih ini jika Anda menginginkan brankas sepenuhnya di luar layanan jaringan apa pun.
7. Pass (passwordstore.org) — terbaik untuk pengguna daya GPG dan Git
Pass adalah manajer kata sandi baris perintah Unix yang menyimpan setiap kredensial sebagai file terenkripsi GPG di dalam pohon direktori, dengan Git untuk sinkronisasi dan versioning. Browserpass menghubungkan browser, beberapa klien seluler ada, dan desainnya adalah pendekatan “semuanya adalah file” yang paling bersih dalam kategori. Pass adalah pilihan yang tepat untuk pengguna daya yang sudah memiliki pengaturan GPG yang berfungsi dan menginginkan brankas yang masuk dengan baik ke dalam alat yang ada.
Dimana kekurangannya: Kemiringan onboarding tersulit di daftar ini. Tidak ada GUI secara default. Berbagi keluarga memerlukan menjalankan server Git kecil dan mengelola kunci GPG di seluruh penerima.
Platform: Windows, macOS, Linux. Klien: Browserpass, Pass untuk Android, beberapa fork iOS.
Garis bawah: Pilih ini jika Anda sudah menggunakan GPG dan Git dan menginginkan brankas yang cocok dengan mereka.
Cara memilih yang tepat
Pilih Vaultwarden jika Anda menginginkan jalur paling mulus dari LastPass ke brankas yang di-host sendiri yang mempertahankan pengalaman klien Bitwarden.
Pilih Bitwarden Self-Hosted jika Anda memerlukan kode hulu, jejak audit, dan set fitur perusahaan, dan Anda memiliki perangkat keras untuk itu.
Pilih Passbolt jika Anda menyiapkan brankas untuk tim kecil dan menginginkan model berbagi berbasis GPG.
Pilih Psono jika Anda menginginkan brankas tim yang memprioritaskan privasi dan lebih suka tumpukan yang ramah-Berlin.
Pilih Padloc jika Anda menginginkan UI open-source yang paling dipoles dalam kategori.
Pilih KeePassXC jika Anda menginginkan brankas sepenuhnya di luar layanan jaringan apa pun dan bersedia menangani sinkronisasi sendiri.
Pilih Pass jika Anda sudah menggunakan GPG dan Git dan menginginkan brankas yang cocok dengan mereka.
FAQ
Apakah Vaultwarden aman?
Vaultwarden adalah penulisan ulang Rust dari API server Bitwarden dan menggunakan enkripsi sisi klien yang sama dengan Bitwarden. Klien Bitwarden (seluler, desktop, browser) mengenkripsi sebelum apa pun meninggalkan perangkat, jadi server hanya pernah menyimpan blob terenkripsi. Fork secara luas diaudit oleh komunitas yang di-host sendiri.
Bisakah saya beralih dari LastPass ke manajer kata sandi yang di-host sendiri?
Ya. Ekspor brankas LastPass ke CSV, impor ke target yang di-host sendiri. Vaultwarden, Bitwarden Self-Hosted, Passbolt, dan Psono semuanya menerima CSV LastPass secara langsung melalui brankas web mereka.
Berapa manajer kata sandi yang di-host sendiri paling mudah untuk diatur?
Vaultwarden melalui Docker Compose yang paling mudah. Satu kontainer, proxy terbalik, catatan DNS, dan klien Bitwarden resmi bekerja tanpa pengaturan lebih lanjut.
Apakah saya memerlukan nama domain untuk di-host sendiri manajer kata sandi?
Nama domain membuat TLS lebih mudah dan merupakan jalur yang direkomendasikan, tetapi sertifikat yang ditandatangani sendiri pada alamat LAN saja berfungsi untuk penggunaan pribadi. Klien seluler Bitwarden memerlukan HTTPS yang valid untuk terhubung, jadi sertifikat Let’s Encrypt gratis melalui proxy terbalik adalah jawaban biasa.
Manajer kata sandi yang di-host sendiri mana yang mendukung passkeys?
Vaultwarden dan Bitwarden Self-Hosted keduanya mendukung passkeys melalui pengalaman klien Bitwarden. Padloc mendukung passkeys secara asli. Passbolt memiliki dukungan passkey di peta jalan per pertengahan 2026.